Hola espero poner cosas más seguido pero lei este artículo y me gusto. 

Fuente: http://www.vsantivirus.com/mm-nazario.htm

Por Mercè Molist (*)
colaboradores@videosoft.net.uy

José Nazario es una especie de "cazafantasmas": investiga y persigue a las siempre cambiantes redes de ordenadores "zombie" que se esconden en la inmensidad del ciberespacio.
Se infiltra en ellas, localiza a los delincuentes que las controlan y los entrega a la policía.

-¿De dónde le vino esta afición?

-Soy bioquímico, especializado en enzimas y sus relaciones en sistemas muy complejos, pero me aburría. Usaba ordenadores para mis cálculos y empecé a fijarme en las redes informáticas. En el 2000 creé una teoría sobre las redes de ordenadores "zombie", a las que llamé "botnets" (redes de robots).

-¿Casi que dio la idea a los criminales?

-No. En 1999 ya había gente creando pequeñas redes. Pensé:
imagina que hacen esto contra máquinas Windows, qué pasaría.

-¿Cómo se caza al dueño de una "botnet"?

-A veces me hago pasar por una de las máquinas "zombie".
Estudio el código malicioso que le dice dónde debe conectarse para recibir órdenes, normalmente un canal de chat, y voy yo en lugar de la máquina. Cuando estás dentro, dices: "Hola" y suelen sorprenderse mucho.

-¿Se presenta como José Nazario?

-No. Simulo ser un adolescente.

-¿Adolescente?

-La mayoría lo son, también los que controlan redes grandes.
Como mucho tienen veintitantos años o, una minoría, cuarenta.

-¿Para qué usan estas redes?

-Principalmente para mandar correo basura, les da mucho dinero. También para bombardear sistemas, robar información bancaria, diseminar programas espía...

-¿Es cierto que cada día se crean mil nuevas "botnets"?

-Sí. Muchas son pequeñas. Con un virus que infecte diez ordenadores ya tienes una red y hay millones de máquinas infectadas en el mundo. Es como una pirámide: en la base tienes mucha gente con redes pequeñas de cientos de máquinas.
3.000 sería la media. En lo alto hay equipos de cuatro o cinco personas por red, trabajando a jornada completa.

-¿Lo llamaría crimen organizado?

-No creo que aquí esté la mafia, pero no puedo asegurarlo.
Más bien son criminales organizados.

-¿Cuánto dinero ganan?

-Los de arriba, miles de dólares al día.

-¿Cuál es la "botnet" más grande que ha visto?

-Dos: Team USA, que debe tener unas 80.000 máquinas, y Peruvian Power, de unos argentinos, con 75.000.

-¿Para qué las usan?

-Para ataques de Denegación Distribuida de Servicio.

-¿Se hace dinero con eso?

-Mucho.

-¿Bombardeando a alguien y extorsionándole para que cese el ataque?

-Sí. Y también cobrando por tirar las redes de la competencia.

-Hace poco Estonia sufrió un duro bombardeo.

-Es un caso interesante porque fue muy grande y muy largo. Es el mayor realizado contra un país por razones políticas.

-Dicen que venía de Rusia.

-No sé quién estaba detrás realmente, pero es un indicador de lo que puede haber en el futuro.

-¿Ciberguerra?

-Sí. Estamos entrando en la ciberguerra.

-¿Cuál fue la primera "botnet" que cazó?

-Se llamaba Shaft, en el 2000. Entraban en sistemas e instalaban un programa para controlar las máquinas. Tenían cientos. Para ellos es algo grande, se sienten poderosos.

-¿Y la más interesante?

-La mayoría son muy aburridas. Hay un grupo francés, al que he seguido algunas veces, que son realmente vagos. Otro chico, en Italia, no pone atención, sólo está por el dinero.

-¡Vaya!

-Uno de los más interesantes, al que le estoy ahora detrás, tiene una "botnet" por P2P, que es lo más nuevo. Peruvian Power también son realmente buenos, hablé con uno de ellos pero no pude hacer más. Otro buen equipo está en Estados Unidos. También hay un par en Rusia. Me gustaría saber quiénes son, no sólo para llevarles a prisión sino para saber quién es esa gente tan inteligente.

-¿Ha cogido alguna vez a alguien que tenga una "botnet" por P2P?

-Encontrar la red, sí, pero atraparles, no. Es muy difícil porque el P2P es descentralizado, además se mueven mucho y rápido, usan también la web, cifrado...

-¿Qué podemos hacer para saber si nuestro ordenador es un "zombie"?

-Cuando se han metido en tu máquina, es muy difícil.
Francamente, no sé qué podemos hacer con esto.

-¿Las leyes pueden ayudar?

-El problema no es hacer más leyes sino encontrar a esa gente. En un año, en Estados Unidos, atrapamos a unos 20.
Alguno nos cuesta un año de investigación.

-¿Y cuántos hay?

-¿Miles?


(*) Copyleft 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.


NOTA VSA: Jose Nazario es autor de libros como "Defense and Detection Strategies against Internet Worms". Actualmente es Ingeniero Principal de Seguridad del ASERT (Arbor Security Engineering & Response Team), responsable de analizar nuevas amenazas de seguridad de Internet, ingeniería inversa de código malicioso y desarrollo de mecanismos de seguridad.
También, mantiene el sitio WormBlog.com, un sitio destinado al estudio de la detección de gusanos e investigación contra la defensa de estos problemas.

Realizando un analisis rapido en uno de los sitiios con el exploit logre obtener lo siguiente:

Al entrar al sitio web malicioso el sistema se satura de recursos y se vuelve
demasiado lento entonces Internet Explorer descarga un archivo de nombre
updater[1].exe y se copia al escritorio con el nombre de mhh.exe nuevamente
crea una copia de este de nombre updater.exe

El archivo es el mismo de acuerdo a la firma md5 posteriormente el archivo se ejecuta y se conecta a la dirección 81.12.222.154 al puerto 6667 a la espera de recibir ordenes. La dirección a donde se conecta es de Rumania.

Lo interesante de la bot es que no es detectada por varias versiones antivirus
pero las que lo reconocen lo hacen como una variante de spybot. Además el
malware no desactiva el firewall, cosa rara, de windows por lo que si tienes activado este te avisa que una aplicacion de nombre updater.exe desea salir al internet y pide la confirmación para dejarlo salir o no.

El sitio analizado fue t e x t r u m

EStaba leyendo una nota en como un equipo de Microsoft se infiltro y vio como trabajan las botnets..

Primero se infectaron y después analizaron para que era utilizada la bot y de donde..

Esta interesante el articulo, con esto al parecer Microsoft ya empieza a hacer algo en contra de este tipo de amenzas, bueno ya habiamos comentado un paper interesante de este problema hace algunos días, y espero mañana tenerles la nota en español..:p

Las recomendaciones son algo escuetas bueno en comparación con el documento ya mencionado anteriormente en este blog.

Además agregan una presentación simple de como es o para que son las bots en las botnets..dejen busco una que encontre un día más elaborada en flash y se las pongo aqui..

http://www.microsoft.com/presspass/features/2005/oct05/10-27Zombie.mspx

http://download.microsoft.com/download/c/2/9/c2935f83-1a10-4e4a-a137-c1db829637f5/10-27-05ZombiePresentation.ppt

Estaba leyendo un documento interesante acerca de bots y botnets “Bots and
botnets – risks, issues and prevention ”en el cual se abordan:

· Conceptos básicos. (bot, zombie, botnet, irc,..)
. Historia breve.
· Tamaño del problema.
· Amenazas que presenta (DDoS, Privacidad, Estabilidad de la red, uso de los
equipos para otros ataques, etc.)
· Como trabajan.
· Soluciones (Contraseñas fuertes, uso de políticas, uso de escáner de
vulnerabilidades, aplicación de actualizaciones, IDS, etc.)

Este es un documento interesante para entender como son, como trabajan, para que
las utilizan, amenazas que generan y soluciones de las botnets.

“Bots and botnets – risks, issues and prevention”
http://arachnid.homeip.net/papers/VB2005-Bots_and_Botnets-1.0.2.pdf
--